La saga continua, tras la aparición de Melissa y Papa, aparece Veneno
un nuevo virus informático creado para la versión castellana de Word.
Veneno es un nuevo virus diseñado para la versión castellana de Word,
al contrario que otros virus de macro que dan problemas sobre la
versión española este ha sido especialmente creado para atacar bajo
esta versión. En la actualidad se presenta bajo tres mutaciones
denominadas WM/Veneno A, WM/Veneno B y WM/Veneno C. Aunque la ultima,
es una variante corrupta sin ningún efecto salvo un mensaje cuando
se selecciona Archivo/Guardar como.
Nos pararemos en intentar comprender la activación e infección de la
primera versión de este virus. “WM/Veneno A” es un virus de macro
cifrado que infecta el área global de macros normal.dot y a la vez
elimina macros de otros virus. Infecta sólo la versión en castellano
del procesador de textos Word, y se activa cuando los minutos del
reloj de nuestro ordenador son iguales a 30. En ese momento crea
dos archivos temporales en C:/DOS, que utiliza para cargar un virus
binario, el Glupak.847.D en c:/dos/attrib.com.
Glupak.847.D, como su mismo nombre indica tiene un tamaño de 847
bytes, no es residente e infecta los archivos .com. Este virus de
origen canadiense se activa el 21 de octubre e intenta borrar la
unidad de disco duro. Posteriormente despliega el texto:
“Happy Birthday Freaky!”. Este virus también puede borrar los
archivos *.zip y anti-vir.dat.
Una segunda forma de activación se produce cuando él número de
minutos es menor de 5 y el día es sábado o domingo. En este caso
se introduce dentro del documento activo el texto “**V>N>NO**”. En
el caso de aparecer las letras “ste” las cambia por “stes”,
posteriormente graba el documento con el password “Veneno” y lo
cierra.
El virus dispone de un tercer payload que se activa al reiniciar
el ordenador o al abrir un documento. En este caso el virus
reemplaza el c:\config.sys y el c:\autoexec.bat con lo que al
arrancar el ordenador aparece el mensaje:
Inserte un disco en la unidad A:
Presione cualquier tecla para continuar.
Después de este mensaje el virus intenta formatear la unidad A: si
esto no fuera posible trata de hacerlo con las unidades C: y D:.
Otra forma de hacerse notar el virus veneno en su versión A es la
reivindicativa, que surge cuando él número de segundos es superior
a 57 en el reloj del ordenador y se selecciona en el menú de la
barra de Word, Archivo/Imprimir o Archivo/vista preliminar, en
este momento agrega el siguiente texto al final del documento
activo:
Finalmente me gustaría agregar que…
El Centro de Computo de esta Universidad es una verdadera
vergüenza, no nos merecemos este servicio.
>>> Shame on you!!! <<<
Si se selecciona la opción Archivo/Guardar del menú de Word cuando
los segundos son exactamente 36, el virus muestra una ventana con
el siguiente texto:
Un amigo desesperado en busca de…
Khelia Monica Saldaña Díaz, me encantas y te sigo buscando…
¿Donde te has escondido? Atte. Tu enamorado. (LoVe90/91)
Más información:
Noticias Yahoo
DataFellows
Economic Data
AVP Virus Ecyclopedia
Deja un comentario